Alternativas tecnológicas en seguridad desde la Red



Documentos relacionados
Guía de Obtención de Certificados para la Facturación Electrónica en Adquira Marketplace.

SOLICITUD DEL CERTIFICADO

Software Criptográfico FNMT-RCM

MANUAL DE USUARIO OFICINA VIRTUAL DE DISTRIBUCIÓN

Single Sign On y Federaciones en las Universidades. Noviembre 2012

Manual de acceso a unileonweb

FIRMA ELECTRÓNICA EN EL MINISTERIO DE EMPLEO Y SEGURIDAD SOCIAL SITUACIÓN PRESENTE Y FUTUROS DESARROLLOS

Cómo realizar tu inscripción online a cualquier tipo de curso.

MANUAL DE USUARIO. Versión: 3.5

Ayuda para la instalación Componente Firma Digital INDICE. 1 Configuración previa Configuración Internet Explorer para ActiveX...

Manual del usuario del Módulo de Administración de Privilegios del Sistema Ingresador (MAPSI)

seguridad compras por internet

MANUAL DE AYUDA TAREA PROGRAMADA COPIAS DE SEGURIDAD

TPV VIRTUAL O PASARELA DE PAGOS DE CAJASTUR

PLATAFORMA DE PAGO DE CURSOS ONLINE MARKETING DEPORTIVO MD

Empresas. Guía de uso. App Mi Movistar Empresas

Manual Usuario SEDI. Solicitud Electrónica Diseños Industriales (SEDI) Manual de Usuario. Versión: v2.0. Página: 1 de 22

Oficina Online. Manual del administrador

01-U GUIA DE USUARIO PARA LA FIRMA DIGITAL Y CIFRADO DE UN CORREO ELECTRÓNICO EN OUTLOOK EXPRESS

GESTION WEB DE CLIENTES

Proyecto de cifrado de tráfico SMTP entre MTAs RedIRIS

UNIDAD DIDACTICA 4 INTEGRACIÓN DE CLIENTES WINDOWS EN UN DOMINIO

MT01 MANUAL TÉCNICO CONEXIONES VPN. Fecha: 30/11/11

Manual de uso App Mi Movistar

ACTUALIZACIÓN DEL DRIVER DEL LECTOR

Glosario de términos

Manual Instalación. Componentes necesarias para operar en la Facturación Electrónica SII

Seminario Electrónico de Soluciones Tecnológicas sobre VPNs de Extranets

Cómo acceder a Banca por Internet?

Manual de usuario. Facturación Electrónica por Internet CFD-I. EdifactMx Free EMISION GRATUITA. Versión 3.0

Modelos de uso de las Soluciones de Autenticación para Banca a Distancia

Procedimiento de instalación y Configuración del. cliente VPN en Windows. Acceso remoto a la red corporativa

Utilización de la firma electrónica

SINAUTO. (Captura Requirimientos) GRUPO 03

Guía de doble autenticación

Manual de Registro en Facturaxion, como proveedor de BASF y Styrolution.

Manual de USO de la Web. Afilnet.com. Afilnet. Servicios de Telecomunicaciones SMS

INICIO QUIÉNES SOMOS REDES DE NEGOCIOS NOTICIAS PROVEEDORES PRENSA CONTACTO

TrustedX: eidas Platform

Unidad Didáctica 12. La publicación

Departamento CERES Área de Tarjetas Inteligentes Manual de Usuario

Clave Fiscal. Manual del Sistema. - Administración de Relaciones -

Recomendaciones de Seguridad Red Social Twitter

Guía de uso e instalación de firma electrónica

Guía de Uso del Portal de Proveedores. Requisitos técnicos del proveedor

5é Passeig Saludable

Apuestas de lotería on-line mediante teléfonos móviles

INFORME TECNICO ESTANDARIZACION DEL SERVICIO DE SOPORTE DE LA PLATAFORMA TRANSACCIONAL TRANSLINK TRANSACTION SERVICES OCTUBRE

1. Solicitud Acreditación 9 3. Descarga e instalación Copia de seguridad 14

Especificaciones funcionales para el acceso al RAI por Web

Manual de ayuda para el uso de los servicios vía SMS. Guía rápida de uso

EDI. por dónde empezar? Intercambio Electrónico de Datos (EDI), Intercambio Electrónico de Datos (EDI), Intercambio Electrónico de Datos (EDI)

MANUAL DE USUARIO COMPROBANTE ELECTRÓNICO APLICACIÓN GRATUITA

etpv Deutsche Bank Guía descripción

Carpeta Virtual de Expedientes

Firma electrónica con o sin certificado?

CREAR UNA CUENTA PAYPAL BUSINESS

Manual de Acceso Remoto al Portal Timbó. Montevideo 2011

Modelos de uso de las Soluciones para el acceso a Redes Privadas Virtuales (VPN)

Novedades PhotoGestion 5

Portal de Proveedores Requisitos técnicos del proveedor

Para saber más 060.es Tf: o contacte con la Jefatura de Tráfico más cercana.

Capítulo 5. Cliente-Servidor.

MANUAL DE USUARIO FACTURACIÓN ELECTRÓNICA

FORMACIÓN DEL PROFESORADO EXTRANJERO DE ESPAÑOL CURSOS DE VERANO 2015 INSTRUCCIONES PARA LA INSCRIPCIÓN DE SOLICITUDES EN PROFEX

Manual de uso rápido del portal de factura electrónica.

MANUAL DE INSTALACIÓN DEL COMPONENTE WEBSIGNER ACTIVEX. Versión 4.0

MANUAL SOLICITUD ALTA EN LA WEB PROVEEDORES DE IBERDROLA DISTRIBUCION ELÉCTRICA

El repositorio horizontal de usuarios y autenticación de las Administraciones Publicas

Instalación de certificados digitales

Servicio de VPN de la Universidad de Salamanca

Procedimiento. Actualización de Kit de Conexión de Comercios Webpay versión 5.X a Canales Remotos Operaciones. Transbank S.A.

MANUAL DE INSTLACION ETOKEN PARA WINDOWS DESDE LA WEB. Gerente General Gerente General Gerente General

INSTRUCTIVO DE USO PROCESO DE AUTENTICACION FUERTE Y USO DE TOKEN BANCA VIRTUAL/MULTICASH EMPRESAS

Manual de acceso a unileon

Portal Del Emisor MANUAL DEL USUARIO. Plataforma de Facturación Electrónica

Métodos de verificación de usuarios en ELMS 1.1

Fácil manipulación ya que no la recibirás físicamente evitando que se extravíe o deteriore.

Guía General Central Directo

SIEWEB. La intranet corporativa de SIE

CONVOCATORIA DEL CURSO DE FORMACIÓN AL E-FÁCIL PARA DESARROLLADORES

MANUAL DE USUARIO CLIENTE MODULO OFICINA VIRTUAL. Desarrollado por:

POLÍTICAS DE SEGURIDAD DE CAJA SMG

ALTA EN LA WEB E INSCRIPCIÓN AL CONGRESO Y LA CENA DE CLAUSURA

TPV Virtual Santander Elavon 3D Secure. Información general del servicio

Manual de usuario. Certificado de firma electrónica Clase 3 en Microsoft Internet Explorer. Público. Noviembre 2011

Autorización de Documentos Electrónicos

Proporciona cifrado de datos, autorización de servidores, integridad de mensajes y, opcionalmente, autorización de clientes para conexiones.

INSTRUCCIONES PARA EL ACCESO A LA RED INTERNA DE LA C.A.R.M. DE LOS FUNCIONARIOS DE PERSONAL Y SERVICIOS DESTINADOS EN CENTROS EDUCATIVOS

Congreso internacional Educación y futuro

Proceso de cifrado. La fortaleza de los algoritmos es que son públicos, es decir, se conocen todas las transformaciones que se aplican al documento

15 CORREO WEB CORREO WEB

Manual Instalación de certificados digitales en Outlook 2000

MÓDULO 3 HERRAMIENTAS EN LA NUBE: ANFIX

Manual DE CONFIGURACIÓN PARA EL MANEJO DEL COMPROBANTE FISCAL DIGITAL A T R A V É S D E I N T E R N E T

PORTAL DEL CIUDADANO.

Cifrado y firmado de correo electrónico con Microsoft Outlook Express

Eurowin 8.0 SQL. Manual de la FIRMA DIGITALIZADA

Autoafiliación Banca de Personas y Empresas

Transcripción:

Alternativas tecnológicas en seguridad desde la Red ired - Servicio de gestión de identidad SER MÁS LÍDERES Noviembre 2007

01 Federación de identidad La Federación de Identidad está descrita en el protocolo Liberty, que constituye un estándar. Se basa en la existencia de un círculo de confianza establecido entre proveedores de servicios (SP s) y un proveedor de identidad (IDP). Los SP s confían en la gestión de usuarios que hace el IDP y mancomunan esta tarea. El usuario, siempre que se mueva en el circulo de confianza, sólo se autentica una vez y no necesita recordar las credenciales para acceder a los distintos SP s (SSO). SP1 SP3 SP4 SP2 IDP2 IDP1 SP5 La Federación de Identidad se utiliza para poder implementar la autenticación en red, utilizando un protocolo estándar. Este proyecto es un proyecto de autenticación, no de provisión de identidad. 2

01 Federación de identidad La identidad federada tiene las siguientes ventajas, dentro del círculo de confianza: El cliente maneja un único juego de credenciales para acceder a múltiples servicios: No necesita recordar un montón de identificadores y contraseñas. El cliente sólo deposita sus atributos de identidad en un único proveedor, el Proveedor de Identidad, y define qué datos puede darse a los distintos Proveedores de Servicio. No necesita proporcionar sus atributos cada vez que se da de alta en un nuevo servicio. La privacidad del cliente queda garantizada en todo momento y gestionada por él mísmo. El proveedor de servicio no necesita mantener atributos del cliente (aparte de los relacionados con su propio negocio), la consistencia de la información se mantiene a lo largo del tiempo puesto que se consume en el momento de necesitarse. 3

01 Federación de identidad Mediante protocolo XML (web services), el proveedor de servicio y el proveedor de identidad intercambian la información necesaria para completar los procesos entre cliente y proveedor de servicio. En el círculo de confianza se amplía enormemente los mecanismos de comercialización. La identidad está mejor fundada porque el esfuerzo de gestión se centraliza y al mismo tiempo existe un gran despliegue geográfico, en función de las entidades que participan en el círculo de confianza. 4

02 Acceso con identidad segura 1 4 7 2 3 8 6 5 SP (Banco, comercio, empresa,...) IDP Pasarela de mensajes 1. El cliente del proveedor de servicios (SP) intenta acceder a su banco, empresa, etc. 2. Como el cliente no tiene credencial de acceso, el SP redirige al cliente a Telefónica (Proveedor de Identidad IDP). 3. Telefónica pide al cliente que se autentique (usuario y contraseña) 4. El cliente proporciona su usuario, contraseña y especifica en qué teléfono quiere su mensaje, de las opciones que están cargadas previamente, o no indica nada y se toma la opción por defecto. 5. Telefónica extrae el nº de teléfono adecuado, genera una contraseña aleatoria de un solo uso... 6. y envía un SMS al cliente que contiene esta contraseña. 7. El cliente introduce en el formulario de autenticación la contraseña adicional. 8. Telefónica verifica la contraseña proporcionada por el cliente y la generada anteriormente. Si coinciden la autenticación es correcta, genera la credencial de acceso para el SP y redirige al cliente ya autenticado a su proveedor de servicios. A partir de aquí el SP controla la sesión de su cliente. 5

02 Acceso con identidad segura Si mediante phishing o pharming se hubieran capturado las contraseñas, aún habría sido necesario intervenir un canal de comunicación adicional para recibir el SMS. Si un troyano o un keylogger captura toda la secuencia de conexión, como la contraseña adicional es de un solo uso no puede reutilizar esta información para suplantar al cliente. Una vez que un cliente se ha autenticado no es necesario que se vuelva a autenticar para acceder a otros servicios del círculo de confianza (SSO). Aunque los procesos de autenticación se siguen produciendo de forma transparente para el cliente. Para que el proceso pueda ejecutarse, el SP debe tener un cliente liberty y el proveedor de identidad debe tener un servidor liberty. 6

02 Habría sido posible que el phisher que atacó a citibank pudiera usurpar la identidad del cliente con nuestra Identidad Segura? El atacante habría tenido que suplantar a 2 entidades (SP e IDP) y el cliente habría tenido que caer en la trampa 2 veces. La complejidad del phishing aumenta exponencialmente. El cliente tendría que habernos indicado que aceptáramos peticiones suyas procedentes de Rusia (control de IP del cliente). Además tendría que superar el control adicional de clave de firma. t+1 t+6 t+4 SP (Banco, comercio, empresa,...) IDP t+3 Pasarela de mensajes t+5 t+2 t+1. En un momento de la navegación el SP propone una verificación de control de sesión al cliente (porque se va a realizar una transferencia, por ejemplo) t+2 El SP manda un mensaje al IDP con texto libre y solicitando una clave de firma. t+3 El IDP genera una clave de firma. t+4 El IDP manda al cliente el mensaje propuesto por el SP ( verifique la transferencia al nº de cuenta xxxx-xxxx-xxxx-xxxx ) y la clave de firma. t+5 El IDP envía la clave generada al SP. El SP puede marcar un umbral de tiempo para aceptar la respuesta. t+6 Si el cliente está de acuerdo con la transferencia, tecleará la clave de firma en el formulario del SP y la operación continuará. De lo contrario finalizará la sesión del cliente. 7

02 Acceso con DNI electrónico 1 4 2 3 SP (Banco, comercio, empresa,...) IDP Si utilizáramos el DNI digital como TOKEN, la autenticación sería más sencilla:... 3. Telefónica solicita la credencial al cliente, 4. El cliente entrega la credencial firmada con su clave privada 5. Telefónica verifica la firma con la clave pública 6. Si el resultado es correcto, redirige al cliente a su proveedor de servicio. 6 5 Para emplear este token tampoco necesitamos ninguna inversión en logística. Como el empleo de certificados no es totalmente seguro. Sería conveniente combinarlo con alguno de los otros sistemas de aseguramiento de la identidad (SMS o tarjeta) 8

02 Acceso con tarjeta de coordenadas T 1 4 7 2 3 6 8 5 SP (Banco, comercio, empresa,...) IDP En este caso sí empleamos logística. Podemos utilizar tarjetas de coordenadas:... 3. Telefónica pide al cliente que se autentique (usuario y contraseña) 4. El cliente proporciona su usuario y contraseña. 5. Telefónica identifica la tarjeta del cliente, genera una combinación aleatoria de coordenadas 6. e indica al cliente que introduzca los valores resultantes. 7. El cliente introduce en el formulario de autenticación esta contraseña adicional. 8. Telefónica verifica la contraseña proporcionada por el cliente y la generada anteriormente. Si coinciden la autenticación es correcta, genera la credencial de acceso para el SP y redirige al cliente ya autenticado a su proveedor de servicio. 9

02 Acceso con tarjeta inteligente proporcionada por Telefónica Disponemos de una PKI y podemos utilizar certificados sobre tarjeta inteligente o sobre TOKEN-USB emitidos por nosotros para realizar la autenticación de empleados de empresas o clientes VIP. Hoy podemos emitir certificados pero a un coste demasiado elevado. En cualquier caso habría que adaptar las aplicaciones actuales de gestión y emisión de certificados así como las prácticas de autoridad de registro. 10

02 Registro con pseudónimo 1 SP (Banco, comercio, empresa,...) 4 5 6 2 8 7 3 9 IDP 1. El cliente accede al SP. El SP le propone la federación y le solicita el nº de teléfono para recibir SMS. y le indica al cliente el uid en el IDP. 2, 3. El SP registra: pseudónimo en el SP uid en IDP contraseña en IDP nº teléfono 4. El SP manda la contraseña al cliente. 5, 6, 7. Cuando el cliente accede al SP, le redirige al IDP, que realiza el proceso de autenticación. 8. El IDP redirige al cliente para que autentique en el SP y éste redirige al cliente para verificar la cuenta de acceso. 9. El IDP confirma la asociación de UID y pseudónimo. No registramos datos personales del cliente, por lo que no se puede hablar en sentido estricto de federación. 11

3 Proceso operacional Proceso Comercial Alta de Proveedor De Servicio Federación De Usuarios Autenticación En red Facturación Kit autoinstalable con soporte remoto Instalación de cliente liberty Dos modalidades de federación: a instancia del cliente y a instancia del SP: 1) Alta débil. El cliente se da de alta en el IDP y verifica la posesión del usuario en el SP. 2) Alta fuerte. El SP proporciona las claves de alta del cliente en el IDP. El cliente accede al IDP y verifica la posesión del usuario en el SP. En este último caso es importante si existe control presencial del cliente. Elección de modalidad de federación Pruebas de federación y pruebas de acceso Alta en círculo de confianza FIN 12

3 Proceso operacional Proceso Comercial Alta de Proveedor De Servicio Federación De Usuarios Autenticación En red Facturación Alta de usuario En función de modalidad de federación Verificación de accesibilidad al SP Registro de pseudónimo para el SP (anexo 2) Método autenticación DNI digital Mensaje teléfono Tarjeta de coordenadas FIN Personalización de la tarjeta, adquirida en tiendas y puntos de distribución 13

3 Proceso operacional Proceso Comercial Alta de Proveedor De Servicio Federación De Usuarios Autenticación En red Facturación Registro de evento de autenticación Por cada evento de autenticación se registrará el SP para que pueda alimentar los procesos de facturación 14

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback